Posted on 2006-07-17 17:22
開源愛好者 閱讀(773)
評論(2) 編輯 收藏 所屬分類:
Portal
Jetspeed2 Security介紹的官方連結:
[url]http://portals.apache.org/jetspeed-2/multiproject/jetspeed-security/[url]
J2使用JAAS的來處理security有關的問題。以之前裝在Tomcat上的J2為例,可以由c:\tomcat\conf\Catalina\localhost\jetspeed.xml及C:\tomcat\webapps\jetspeed\WEB-INF\web.xml看到有關JAAS Realm及login的設定。
大致上來說,JAAS包含Principal、Permission、Policy三個概念。在J2中有user、role、group三種Principal。而Permission基本上有page、portlet,tab等等,當然也可以增加自訂的Permission。至於Policy,J2並沒有使用JAAS的policy檔,而是使用自帶的RdbmsPolicy,也就是把Policy的資訊存在資料庫中;而透過"適當"的實作和設定,J2也可以使用相關App Server的JAAS。
底下是官方的security元件架構圖:
在J2中,核心的部份就是"J2 Security Coarsed Services"裡的4個Manager元件。J2的JAAS login module實際上是使用UserManager來進行authentication;UserManager透過OJB自資料庫中取出user的資料例如UserPrincipal、Crendential等並進行authorization.
當透過UserManager認證完成以後,J2會同時將此User相對應的所有Principal取出並建立此User的Subject。此後,當SecurityValve執行時,就會呼叫JAAS的Subject.doAsPrivileged(Subject,PrivilegedAction,AccessControlContext)進行有關authorization的動作。有興趣的可以參考org.apache.jetspeed.security.impl.AbstractSecurityValve的原始碼。
J2在security的部份也提供了SPI的設計供開發人員加入自訂的認證方式,例如使用LDAP,參考底下官方的連結http://portals.apache.org/jetspeed-2/multiproject/jetspeed-security/ldap.html可以知道如何使用LDAP來進行J2上的認證。
關於J2,其實還有很多部份值得介紹,例如Bridge、Profiler等等。可惜這些部份小弟並不是十分的了解,期待日後有更多高手能夠對J2做更多的介紹,小弟在此先向大家跪謝啦!!Orz